Overlay Management Protocol (OMP)
Trong giải pháp SD-WAN, giao thức định tuyến được chọn là OMP. nhưng nếu chúng ta chỉ nghĩ OMP chỉ dùng cho vấn đề định tuyến, đó sẽ là một suy nghĩ chưa đầy đủ. OMP là tập hợp của tất cả thông tin thuộc về điều khiển của mạng SDWAN control plane và cung cấp các dịch vụ sau:
- Điều phối giao tiếp mạng overlay, bao gồm việc kết nối mặt phẳng dữ liệu giữa nhiều site, chuỗi dịch vụ và các thông tin về topology của nhiều VPN.
- Quảng bá các dịch vụ có sẵn cho fabric và các địa điểm liên quan của chúng.
- Phân phối thông tin bảo mật data plane, bao gồm các key dùng để mã hóa.
- Quảng bá chính sách định tuyến và lựa chọn đường đi tốt nhất
Tất cả các tác vụ đều được thực hiện thông qua vManage. OMP tương tác với tất các dạng định tuyến truyền thống bao gồm định tuyến tĩnh và các giao thức định tuyến động như OSPF, BGP, EIGRP. Tuy nhiên, OMP khác với các IGP truyền thống ở chỗ không phải giữa tất các thiết bị trong miền định tuyến ngang hàng với nhau. Chủ yếu OMP chạy giữa các WAN Edge và controller vSmart. Cách hoạt động này của OMP rất giống với bộ định tuyến BGP trong miền iBGP.
Khi một phiên làm việc từ Vedge với bộ điều khiển vSmart không khả dụng, nó sẽ tiếp tục thiết lập lại kết nối. Tuy nhiên, nếu WAN Edge được khởi động lại reload, thông tin đã lưu trong bộ nhớ cache này sẽ bị mất. WAN Edge sẽ cần thiết lập lại phiên OMP với vSmart và nhận thông tin chuyển tiếp mới trước khi nó có thể bắt đầu chuyển tiếp lưu lượng trên fabric SD-WAN một lần nữa.
Mặc định, giao thức OMP được bật lên, vì vậy không cần cấu hình cho phép giao thức này trên bộ định tuyến vEdge và vSmart. Nghĩa là khi các thiết bị đã xác thực với nhau xong, các đường hầm DTLS và TLS sẽ được tạo ra, ngay sau đó giao thức OMP sẽ được bật lên. OMP peering được thiết lập bằng cách sử dụng các địa chỉ system IP và chỉ duy nhất một phiên peering được thiết lập giữa một thiết bị vEdge và vSmart ngay cả khi tồn tại nhiều kết nối DTLS/TLS.
Hình 2.9: Giao thức OMP
OMP chạy giữa bộ điều khiển vSmart và bộ định tuyến WAN Edge và quảng bá các loại route sau:
OMP routes
OMP Routes: Mỗi WAN Edge tại một site sẽ quảng bá các route đến controller vSmart. Các bản cập nhật này tương tự như các bản cập nhật định tuyến truyền thống ở chỗ chúng bao gồm thông tin về khả năng truy cập cho các tiền tố mà WAN Edge xử lý. OMP có thể quảng bá các tuyến tĩnh được kết nối và cập nhật định tuyến thông qua phân phối lại từ các giao thức truyền thống như OSPF, EIGRP và BGP. Cùng với thông tin về khả năng tiếp cận, các thuộc tính sau cũng được quảng bá: TLOC, Origin, Originator, Preference, Service, Site ID, Tag, VPN.
Hình 2.10: Ví dụ về ba loại routes OMP
Người quản trị mạng có thể sửa đổi một số thuộc tính dưới đây để can thiệp và tác động đến quyết định định tuyến:
-TLOC: Transport Location (TLOC) được nhận định là next hop của OMP route. Thuộc tính này rất giống với thuộc tính BGP_NEXT_HOP. Trong TLOC, có ba giá trị:
+ System IP Address: Đây có thể được coi là một ID bộ định tuyến. Mặc dù địa chỉ IP này không cần phải được định tuyến, nhưng nó cần phải là duy nhất trên tất cả các Edges WAN. IP của hệ thống là một cách để xác định WAN Edge đã quảng bá tuyến đường ban đầu.
+ Color: là một cách để đánh dấu một kết nối WAN cụ thể mà sau này có thể được sử dụng để ảnh hưởng đến chính sách và cách cấu trúc liên kết được xây dựng.
+ Encapsulation Type: Giá trị này sẽ quảng bá kiểu đóng gói nào đang được sử dụng cho đường hầm data plane; các tùy chọn khả thi bao gồm IPsec và GRE.
-Origin: Đây là nguồn của route. Vì route được quảng cáo vào miền định tuyến, nguồn gốc của route được chèn vào bản cập nhật. Nguồn có thể chứa một số nhận dạng (BGP, OSPF, EIGRP, Đã kết nối hoặc Tĩnh), cùng với chỉ số ban đầu của giao thức. Nguồn gốc cũng được sử dụng trong lựa chọn đường dẫn tốt nhất cho các tuyến OMP và, cũng như với hầu hết các chính sách thuộc tính, có thể được định cấu hình để ảnh hưởng đến cách phản ứng của thông tin này.
- Originator: Thuộc tính Originator xác định bắt nguồn từ ban đầu. Giá trị này sẽ là IP hệ thống của nhà quảng cáo. Sau đó, quản trị viên mạng có thể xây dựng chính sách có thể tính đến thuộc tính này.
- Preference: Điều này đôi khi được gọi là Preference OMP, mặc dù không nên nhầm lẫn với Preference TLOC. Giá trị Preference có thể được sửa đổi để ảnh hưởng đến tiêu chí lựa chọn đường đi tốt nhất cho một tuyến đường nhất định. Ưu tiên cao hơn được ưu tiên hơn ưu tiên thấp hơn. Preference hoạt động tương tự như LOCAL_PREF trong thuật ngữ BGP.
- Service: Giải pháp Cisco SD-WAN cũng hỗ trợ chèn dịch vụ. Nếu một dịch vụ (ví dụ như tường lửa) được liên kết với tuyến đường này, thì nó sẽ được chỉ ra ở đây.
- Site ID: site ID tương tự như số hệ thống tự trị BGP (ASN). Giá trị này sẽ được sử dụng để orchestration chính sách và ảnh hưởng đến các quyết định định tuyến. Tất cả các site phải có một ID site duy nhất. Nếu có nhiều thiết bị tại một site, chúng phải có cùng một ID site để ngăn chặn vòng lặp.
- Tag: Đây là một thuộc tính bắc cầu, tùy chọn OMP peer có thể áp dụng cho tuyến đường, có thể được thực hiện thông qua chính sách. Tuy nhiên, việc phân phối lại đến hoặc từ OMP không mang tag. Thuộc tính này hoạt động giống như một tag định tuyến trong các giao thức định tuyến truyền thống.
- VPN: Khi thảo luận về phân đoạn trong giải pháp, giá trị này truyền đạt VPN / VRF mà tuyến đường này được quảng bá từ đâu. VPN tag cho phép sử dụng các mạng con chồng chéo, miễn là chúng nằm trong các VPN / VRF khác nhau (ví dụ: 10.0.0.0/24 trong VRF RED và 10.0.0.0/24 trong VRF BLUE). Phân đoạn sẽ được thảo luận chi tiết hơn trong phần data plane.
TLOC routes
TLOC (Transport Location Identifier) xác định vị trí thực của thiết bị này trên transport. TLOC là địa chỉ duy nhất có thể định tuyến đến lớp dưới và đại diện cho điểm cuối của các đường hầm mặt phẳng dữ liệu (tương tự như đường hầm GRE với các lệnh nguồn đường hầm và đích đường hầm). TLOC được tạo thành từ ba thuộc tính: địa chỉ IP hệ thống của WAN Edge, color truyền tải và kiểu đóng gói. Nếu một WAN Edge có nhiều phương tiện truyền tải, một tuyến TLOC sẽ được quảng bá cho mỗi giao diện. IP hệ thống được sử dụng trong TLOC do địa chỉ IP có thể và sẽ thay đổi (chẳng hạn như khi DHCP đang được sử dụng). Bằng cách sử dụng địa chỉ IP của hệ thống, TLOC vẫn có thể dễ dàng nhận dạng.
Hình 2.11: Ví dụ về route TLOC
Một thuộc tính quan trọng của tuyến TLOC là color, đây là một cơ chế để xác định phương tiện vận chuyển. Tốt nhất, mỗi phương tiện giao thông của ta sẽ có một color khác nhau. Sau đó, chính sách có thể được xây dựng để sử dụng color để ảnh hưởng đến cách data plane được xây dựng. Tại thời điểm này, có 22 color được xác định trước để lựa chọn. Color cũng xác định xem phương tiện giao thông cơ bản là riêng tư hay công cộng về bản chất và do đó, địa chỉ IP nào nên được sử dụng khi tạo đường hầm mặt phẳng dữ liệu đến site từ xa. Theo mặc định, WAN Edges sẽ cố gắng xây dựng các đường hầm của mặt phẳng dữ liệu đến mọi site khác bằng mọi màu có sẵn. Điều này có thể không mong muốn, vì nó có thể dẫn đến việc định tuyến không hiệu quả - chẳng hạn như nếu các trang MPLS cố gắng xây dựng đường hầm đến các trang Internet công cộng. Mặc dù kết nối có thể tồn tại, nhưng các đường hầm có thể đã hình thành trên một con đường ngoài ý muốn. Tuy nhiên, hành vi này có thể được kiểm soát bằng lệnh giới hạn và / hoặc nhóm đường hầm.
Quảng bá tuyến TLOC sẽ chứa các phần thông tin sau:
- Địa chỉ TLOC private: Thuộc tính này sẽ chứa địa chỉ IP riêng có nguồn gốc từ giao diện vật lý của WAN Edge.
- Địa chỉ TLOC public: Khi WAN Edge xây dựng các kết nối Control plane, nó được thông báo qua STUN (RFC 5389) rằng nó có thể nằm sau một thiết bị NAT. Thuộc tính này chứa địa chỉ IP bên ngoài hoặc định tuyến công khai được gán cho WAN Edge. Điều này rất quan trọng trong việc hỗ trợ kết nối mặt phẳng dữ liệu qua ranh giới NAT. Nếu cả địa chỉ công cộng và địa chỉ riêng trùng khớp trong một tuyến TLOC, thiết bị được coi là không có NAT.
- Color: là đại diện cho kiểu liên kết của cổng interface trong WAN. Trong Cisco SD-WAN, color được xác định trước và được gán trong cấu hình của thiết bị., đây là color xác định của phương truyền dẫn. Các tùy chọn có thể có là 3g, biz-internet, màu xanh da trời, Đồng, custom1, custom2, custom3, default, vàng, xanh lá, lte, metro-ethernet, mpls, private1, private2, private3, private4, private5, private6, public-internet, đỏ và màu bạc Màu mặc định sẽ được sử dụng nếu không có màu nào được xác định về mặt hành chính.
- Encapsulation type: Thuộc tính này đề cập đến kiểu đóng gói đường hầm. Các tùy chọn có sẵn là IPsec và GRE. Cả hai bên của đường hầm phải phù hợp với kết nối mặt phẳng dữ liệu.
-Preference: Chỉ ra độ ưu tiên. Giá trị mặc định là 0.
- ID site: Giá trị xác định người khởi tạo tuyến TLOC này và được sử dụng để kiểm soát cách đường hầm mặt phẳng dữ liệu được xây dựng.
- Tag: Tương tự như thẻ tuyến đường và thẻ OMP. Một giá trị có thể được xác định có thể kiểm soát cách các tiền tố được trao đổi và cuối cùng là cách lưu lượng truy cập.
- Weight: Một phương pháp chọn đường dẫn khác. Điều này được sử dụng giống như BGP Weight và có ý nghĩa cục bộ. Giá trị Weight cao hơn được ưu tiên hơn giá trị thấp hơn.
Địa chỉ IP được sử dụng trong TLOC là System-IP cố định của chính thiết bị. Lý do không sử dụng địa chỉ IP của cổng interface để biểu thị TLOC bởi vì địa chỉ IP có thể bị thay đổi. Ví dụ, các địa chỉ IP này được chỉ định bởi DHCP thì các địa chỉ này có thể bị thay đổi. Sử dụng System IP để xác định một TLOC sẽ đảm bảo rằng một điểm kết thúc truyền tải luôn luôn có thể được xác định bất kể địa chỉ IP là gì.
Service routes
Service routes quảng bá cụ thể một dịch vụ đến phần còn lại của mạng overlay. Quảng bá này thường được sử dụng cho service chaining policies. Service chaining cho phép ưu lượng dữ liệu được chuyển đến một chi nhánh từ xa thông qua một hoặc nhiều dịch vụ (chẳng hạn firewalls, intrusion detection/prevention systems, load balancers, hoặc IDP) trước khi được chuyển đến đích ban đầu của lưu lượng.
Hình 2.12: Service Routers
Nhóm SD-WAN - Phòng kỹ thuật VnPro
